[发明专利]一种开放平台脚本代码的权限校验方法

说明书

本申请涉及互联网领域，公开了一种开放平台脚本代码权限校验的方法。本申请提供的方法，引入一个中间平台的概念，第三方应用的脚本代码权限校验可以不再关注与开放平台之间复杂的交互，而是只与中间平台交互，进而使第三方应用用更少的代码和更短时间完成权限校验的开发工作，且对指定开放平台脚本代码权限校验的过程更快捷。

技术领域

本申请涉及互联网领域，特别涉及一种开放平台脚本代码的权限校验方法。

背景技术

现在很多互联网产品(例如，钉钉、微信等)，都开发了自身的开放平台，第三方应用的开发人员可以基于这些开放平台开发他们自己的应用。开放平台通常要提供一些接口，约定一些调用接口的规范，然后用详尽的文档为第三方开发人员说明。对于第三方应用尤其是web应用，开放平台可能会开发一系列脚本代码(例如,JS SDK)，这些脚本代码可以帮助第三方开发者调用起开放平台提供的一些平台业务相关或安全相关的功能，例如，获取钉钉里公司组织架构，微信分享等。在第三方应用里调用开放平台的脚本代码，因为涉及平台和安全性考虑，通常开放平台要求第三方应用完成权限校验。这个脚本代码的权限校验过程分为如下步骤(以JS SDK为例)：

1.第三方应用服务端根据在开放平台的注册信息，向开放平台请求访问令牌(access token)，其中，access_token具有一定时效并且不能频繁访问，需要第三方应用进行一些缓存设计；

2.第三方应用服务端需要对access_token权限校验，通过前端网页URL和一些随机字段比如随机字符串和时间戳结合起来进行签名(比如sha1)，得到标识(signature)；

3.第三方应用服务端将signature和用到的随机字段传递给前端网页

4.前端网页加载开放平台提供的脚本(JavaScript，简称：JS)文件；

5.调用放开平台的JS权限校验接口，传入signature，随机字段，需要使用的JSSDK接口列表，在开放平台的注册信息；

6.通过开放平台JS提供的接口处理权限校验成功或者失败。

例如，某公司开发内部系统用于移动办公，选择钉钉平台开发微应用，微应用本身是基于HTML5的网页，钉钉提供了一系列钉钉业务相关，安全相关的JS SDK，如果想要调用这些JS SDK，需要开发者进行权限校验。这个权限校验的过程需要应用的服务端与钉钉进行两次调用，再将产生的签名传递给前端，前端使用该签名，再结合其他参数调用钉钉的JSSDK鉴权接口，这个JS SDK的权限校验过程比较复杂繁琐，其中后端还要处理access_token的缓存，而且每个微应用都需要进行鉴权的前后端开发，引起较大的开发成本和时间。

发明内容

本申请的目的在于提供一种开放平台脚本代码的权限校验方法，在满足快捷按需地对某个特定的开放平台完成脚本代码权限校验的前提下，第三方应用可以使用更少的代码和投入更少的时间，就可以完成相关权限校验的开发工作，节约了大量的开发成本和时间。

为了解决上述问题，本申请公开了一种开放平台脚本代码的权限校验方法，步骤如下：

第三方应用前端加载中间平台脚本代码；

该中间平台通过与开放平台的交互完成签名并传递给该前端；

该中间平台的脚本代码加载该开放平台的脚本代码；

该中间平台的脚本代码使用该签名调用该开放平台的脚本代码权限校验接口，完成权限校验。

在一个优选例中，在该加载中间平台脚本代码的步骤之前，还包括，在该中间平台配置该第三方应用的应用信息。

在一个优选例中，该应用信息包括应用标识和应用秘钥。